Aruba辦公樓無線覆蓋解決方案

1、xxxxx辦公樓無線覆蓋解決方案2008年3月目 錄一、xxxxx辦公樓無線覆蓋建設(shè)需求21項目背景211 pad接入和漫游2二、aruba無線交換局域網(wǎng)221 aruba公司介紹222 aruba無線局域網(wǎng)的技術(shù)特點323 aruba無線局域網(wǎng)系統(tǒng)架構(gòu)4231先進的無線局域交換機4232靈活的組網(wǎng)方式5233優(yōu)秀的擴展性5234 無需更改有線網(wǎng)結(jié)構(gòu)5235方便地?zé)o線網(wǎng)規(guī)劃設(shè)計624 aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理6241 集中式管理6242無需安裝客戶端軟件7243 rf智能控管7244 多個ssid結(jié)構(gòu)8245故障自動恢復(fù)8246網(wǎng)絡(luò)負載均衡8247 無線終端定位925 aruba無線局域

2、網(wǎng)系統(tǒng)的安全管理9251 集中的安全管理9252多種用戶認證方式9253 安全的ap技術(shù)9254無線接入點安全偵測和保護10三、xxxxx無線覆蓋系統(tǒng)建議1031無線覆蓋建議1032天線安裝建議1433無線組網(wǎng)實現(xiàn)1534用戶使用流程1635用戶接入控制17351 ssid的加密和認證17352用戶接入時間控制18四、產(chǎn)品介紹1941 移動交換機2400產(chǎn)品介紹1942 移動交換機2400功能說明列表2243 ap產(chǎn)品介紹2544用戶使用流程26五、配置清單28一、 xxxxx辦公樓無線覆蓋建設(shè)需求1項目背景此次無線覆蓋項目的是針對xxxxx所屬的辦公樓做無線局域網(wǎng)的覆蓋，滿足pda方面的應(yīng)用

3、需求。具體需求如下：11 pad接入和漫游通過采用無線局域網(wǎng)覆蓋方式滿足pda的wifi接入和漫游。pda采用的是多普達的p800w，該款pda支持802.11b/g無線網(wǎng)絡(luò)，在無線信號覆蓋范圍內(nèi)可方便的接入網(wǎng)絡(luò)，實現(xiàn)移動辦公和上網(wǎng)的需求。二、 aruba無線交換局域網(wǎng)21 aruba公司介紹aruba公司是2002年成立的總部設(shè)在美國硅谷的一家高科技公司， aruba一直致力于無線領(lǐng)域的技術(shù)創(chuàng)新與進步，在業(yè)界首先實現(xiàn)了無線交換并創(chuàng)造性地提出了“移動邊緣”的概念。在美國、歐洲、中東和亞太地區(qū)建有分支機構(gòu)，員工更是布滿全球。aruba以開發(fā)出第一個模塊移動系統(tǒng)的著稱，該系統(tǒng)可集中控制所有接入、安

4、全和移動服務(wù)，可使企業(yè)不間斷、可衡量、無斷裂地從固定網(wǎng)絡(luò)轉(zhuǎn)到移動網(wǎng)絡(luò)。公司同阿爾卡特、at&t、ibm、惠普以及ncr公司建立了全球戰(zhàn)略銷售和服務(wù)合作關(guān)系。aruba公司全球最先進的無線產(chǎn)品得到了各個市場的領(lǐng)先企業(yè)的廣泛認可。 aruba借助最新的發(fā)明的新網(wǎng)絡(luò)體系結(jié)構(gòu)，為客戶帶來“移動邊緣”，可以滿足it管理人員的最關(guān)心的三個問題移動性、安全性和整合性。代表了對無線網(wǎng)絡(luò)的戰(zhàn)略步驟，而不僅僅是建立無線局域網(wǎng)。aruba的“移動邊緣”拓展了企業(yè)的網(wǎng)絡(luò)范圍跨越了局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)使用戶無論身在何處都可以安全訪問信息和語音服務(wù)的，而企業(yè)可以開發(fā)新的應(yīng)用。裝配“移動邊緣”后，可以無縫覆蓋現(xiàn)存的網(wǎng)絡(luò)，

5、將校園、地區(qū)和分公司的網(wǎng)絡(luò)以及在家中、酒店、公眾景點的遠程終端用戶聯(lián)系。最重要的是，“移動邊緣”在提高經(jīng)濟收益的同時可以滿足用戶對移動性能的爆炸式增長要求，對傳統(tǒng)固網(wǎng)或有線網(wǎng)絡(luò)的具有十倍優(yōu)勢。企業(yè)網(wǎng)絡(luò)的長期自然演化的趨勢是達到完全無線。企業(yè)網(wǎng)絡(luò)經(jīng)濟由于消除了光纜成本和移動、增加和改變的網(wǎng)絡(luò)的操作費用，將經(jīng)劇烈的轉(zhuǎn)型?！耙苿舆吘墶弊鳛閯?chuàng)造性的新式網(wǎng)絡(luò)結(jié)構(gòu)，為當(dāng)今的網(wǎng)絡(luò)提供移動性、安全性和整合性，展現(xiàn)了將來企業(yè)網(wǎng)絡(luò)的端口最終將比現(xiàn)在少得多的前景?！耙苿舆吘墶笨梢粤r提供以下幾種優(yōu)勢： 為用戶和企業(yè)管理迅速、簡便以及經(jīng)濟的提供移動數(shù)據(jù)和語音服務(wù) 為移動型企業(yè)提供安全的解決方法，使有線網(wǎng)絡(luò)同無線網(wǎng)絡(luò)同

6、樣的安全 與現(xiàn)存基礎(chǔ)設(shè)備可以完全整合對接，保證了網(wǎng)絡(luò)的安全與穩(wěn)定 通過降低資本和運營成本，大幅提高的網(wǎng)絡(luò)的經(jīng)濟性 為用戶和服務(wù)未來的增長提供堅實而靈活的基礎(chǔ)。aruba公司一直在高速發(fā)展，全球超過1000家頂級企業(yè)，包括世界最大的無線網(wǎng)絡(luò)系統(tǒng)，都采用了我們的產(chǎn)品。只有aruba公司可以提供： 可以保護網(wǎng)絡(luò)和移動用戶身份對應(yīng)的安全策略； 與現(xiàn)存網(wǎng)絡(luò)無中斷整合； 為voip和數(shù)據(jù)服務(wù)保證整合性能； 適應(yīng)性無線電波管理以進行無線局域網(wǎng)自我配置； 即時企業(yè)網(wǎng)絡(luò)接入據(jù)點的遠程延伸； 企業(yè)級的升級性能、可靠性和性能； 開發(fā)和集成移動應(yīng)用的開放性平臺。22 aruba無線局域網(wǎng)的技術(shù)特點第一代無線局域網(wǎng)技術(shù)

7、采用單純的ap實現(xiàn)無線接入，基本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)，采用ac智能ap構(gòu)架，ac兩者實質(zhì)均為二層設(shè)備，ap實現(xiàn)接入、ac實現(xiàn)匯聚和認證功能，有的廠商的ac實現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如：web認證、流量的控制、訪問的控制等；支持vlan、vpn、wpa等基本的安全管理，它們無法實現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的ap儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，radius client的安全密碼 (secret) 等，而ap又是分散在建筑物中的各個位置，一旦ap的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于ac或無線網(wǎng)關(guān)

8、的硬件多數(shù)是基于pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (ip sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)（以aruba和cisco為代表），實現(xiàn)了基于無線網(wǎng)絡(luò)交換機，以ap為單元交換的無線網(wǎng)絡(luò)系統(tǒng)，aruba是采用獨立的無線網(wǎng)絡(luò)交換機實現(xiàn)的。作為第三代的aruba無線系統(tǒng)采用了wireless switchap構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 wlan 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、ap間自適應(yīng)、無線安管、rf監(jiān)測、無縫漫游以及qos保證。aruba無線系統(tǒng)不但具有一、二代無

9、線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面，aruba無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。在無線網(wǎng)絡(luò)管理方面，aruba無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的rf智能調(diào)控，自動恢復(fù)、負載均衡功能，使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化，動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果；還可以實現(xiàn)遠端ap狀態(tài)監(jiān)測，方便實現(xiàn)對ap的管理；具有多ssid支持，實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。在無線音視頻應(yīng)用方面，aruba獨有的基于每個用戶的帶寬控制和qos

10、保證，可以確保語音和視頻業(yè)務(wù)的實時性，先進的無縫三層移動漫游，使得voip以及wi-fi 手機可以自由的在任意ap間切換，具有目前業(yè)界最低的時延。23 aruba無線局域網(wǎng)系統(tǒng)架構(gòu)231先進的無線局域交換機領(lǐng)導(dǎo)第三代的無線網(wǎng)絡(luò)技術(shù)的aruba公司無線系統(tǒng)采用了控制交換機瘦 ap構(gòu)架，將第二代分散在ap+ac上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的 wlan 交換機中實現(xiàn)，同時增加了許多無線局域網(wǎng)全新的功能。諸如：無線安全性、ap管理控制、rf站址監(jiān)測、無縫移動漫游，特別是對語音、視頻業(yè)務(wù)的支持有專門的qos保證，使得vowlan應(yīng)用的wi-fi技術(shù)應(yīng)用飛速發(fā)展。232靈活的組網(wǎng)方式第三代的aru

11、ba產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個ap），到大型無線網(wǎng)規(guī)模（幾百個ap，甚至上千個ap），都可以采用集中或者分布式的組網(wǎng)方式進行靈活的組網(wǎng)。并可以提供冗余熱備份機制，保證系統(tǒng)的高可用性。233優(yōu)秀的擴展性 無線網(wǎng)絡(luò)具有非常方便擴展的特性。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。在網(wǎng)絡(luò)系統(tǒng)擴展性方面，aruba的一臺2400型交換機可靈活地對48個ap進行管理；從網(wǎng)絡(luò)管理擴展性方面, aruba的master/local方式， master aruba 交換機可以同時控制管理28臺的local aruba交換機，因此增加交換機也非常容易管理。除了ap數(shù)量之外，怎樣控管大量的ap和部署也是擴

12、展性的重要考慮因素。要妥善處理數(shù)目眾多的ap在園區(qū)網(wǎng)內(nèi)正常遠作，包括無線電波協(xié)調(diào)、無線用戶的帶寬和安全訪問控管以及其它各種各樣的無線增值服務(wù)都可以通過aruba系統(tǒng)的網(wǎng)管系統(tǒng)實現(xiàn)。234 無需更改有線網(wǎng)結(jié)構(gòu)由于無線用戶的傳輸是通過aruba ap 內(nèi)已建立的gre隧道和aruba交換機互連的，所以實際上無線用戶的vlan是無須在接入層和匯聚層存在。無線用戶的vlan是可透過aruba交換機和骨干交換機互連互通。這樣非常方便在園區(qū)里實施無線局域網(wǎng)，同時也非常方便進行擴展。aruba的無線交換機可以安裝在辦公樓的中心機房，而ap則可以放置于園區(qū)的任何地方，無需用二層設(shè)備連到無線交換機，或者劃分vl

13、an；其他廠家則需要二層交換機連接或者劃分vlan，否則只能將認證點下放到ap上，導(dǎo)致整體性能的降低和漫游特性的缺失。不用劃分vlan，對于無線網(wǎng)絡(luò)的管理帶來極大的便利性。對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。235方便地?zé)o線網(wǎng)規(guī)劃設(shè)計在規(guī)劃一個無線局域網(wǎng)絡(luò)時，規(guī)劃設(shè)計者一項重要的工作是要考慮安裝多少ap可以滿足覆蓋？應(yīng)在哪些位置安裝ap，安裝后電波的覆蓋范圍，信號在不同位置的強弱等，要完成此項工作，通常做法是規(guī)劃設(shè)計者要在現(xiàn)場做大量的測試工作，通過經(jīng)驗去估算位置和數(shù)量，其工作量非常之大，無法預(yù)先規(guī)劃每個ap的電磁波和功率參數(shù)以及ap之間

14、的覆蓋相交范圍。aruba首創(chuàng)開發(fā)了rf planning工具，讓規(guī)劃設(shè)計者在無線局域網(wǎng)組網(wǎng)之初采用rf planning在計算機上做規(guī)劃設(shè)計，估算在要求的覆蓋面積上ap應(yīng)安裝的物理位置所在。使用這套工具時，在數(shù)字化的園區(qū)建筑圖紙上設(shè)定無線所覆蓋范圍如那幾個樓層和面積大小，輸入有關(guān)無線覆蓋和傳輸模型的相關(guān)參數(shù)，如無線終端的平均帶寬，ap和ap之間覆蓋面等。rf planning自動計算，然后顯示出ap在圖上的安裝坐標(biāo)位置和無線電波的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝ap，在無線網(wǎng)安裝完成后，網(wǎng)管人員通過rf 規(guī)劃自動校準(zhǔn)功能， aruba交換機可以自動調(diào)節(jié)無線網(wǎng)上所有aruba

15、 ap的頻道與功率參數(shù)以達到一個最優(yōu)性能的運行狀態(tài)。在無線局域網(wǎng)系統(tǒng)投入運行后，網(wǎng)管人員可通過rf planning隨時監(jiān)測網(wǎng)內(nèi)的每個ap的無線電波實際的運行狀態(tài)，及時掌握每個ap的工作狀態(tài)和故障診斷，及時做出調(diào)整策略。aruba rf planning為無線網(wǎng)的規(guī)劃設(shè)計、調(diào)試以及維護提供科學(xué)化和規(guī)范化的管理。24 aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理241 集中式管理網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個ap以上）是一件非常頭痛的事情。從rf覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于ap，因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個ap上進行設(shè)

16、置和更改。其工作量在有一定數(shù)量ap的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)，ap之間必須互協(xié)調(diào)工作，單獨改變一個ap參數(shù)和配置會引起ap之間的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。aruba系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，通過無線交換機master switch和local switch管理模式管理整個網(wǎng)絡(luò)，網(wǎng)管人員只需在無線交換機就可開通、管理、維護所有ap設(shè)備以及移動終端，包括無線電波頻譜、接入認證、移動漫游。 242無需安裝客戶端軟件aruba系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件， aruba的認證可以基于web頁面認證，認證只需用戶打開瀏覽

17、器就可以登陸。aruba采用gre隧道技術(shù)，可以透明地穿透在無線交換機和ap之間的任何三層網(wǎng)絡(luò)交換設(shè)備實現(xiàn)web認證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標(biāo)準(zhǔn)的l2tp 或 ipsec 或 802.1客戶端軟件才能實現(xiàn)web頁面認證。243 rf智能控管aruba系統(tǒng)的rf智能控管可以自動調(diào)節(jié)網(wǎng)上所有aruba ap的電波特性。 初次安裝無線局域網(wǎng)時，用戶可通過rf planning的auto calibration功能來自動調(diào)節(jié)整個無線網(wǎng)上所有ap的無線電波頻率和功率。啟動了auto calibration以后ap和ap之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到a

18、p之間達到了一個最優(yōu)化的無線電波運行環(huán)境。aruba系統(tǒng)的rf智能控管可以自動對網(wǎng)上所有aruba ap的無線電波管理。當(dāng)無線局域網(wǎng)經(jīng)過自動校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運作時，網(wǎng)絡(luò)管理員可在aruba 交換機內(nèi)啟動arm這功能，無線網(wǎng)上所有的aruba ap都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指aruba ap 從一個電波頻道跳到另一頻道時，如ch 1 到 ch 2 到 ch 3.，由于掃描的速度非?？?，所以對于在線的無線用戶（指連接到ap上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當(dāng)ap停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回aruba 無線交換機

19、。aruba 無線交換機可以對整個無線網(wǎng)上的電波情況偵測和記錄。當(dāng)某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾ap所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等，aruba 無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)ap的無線電波。244 多個ssid結(jié)構(gòu)aruba系統(tǒng)的多ssid結(jié)構(gòu)和和實現(xiàn)技術(shù)使得在aruba無線局域網(wǎng)系統(tǒng)的各種多媒體應(yīng)用服務(wù)（數(shù)據(jù)、語音和視頻）在qos上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個ssid，例如一個ssid可給公司領(lǐng)導(dǎo)以及普通員工所用，而另一個可給外來的訪問客戶專用。所以當(dāng)無線終端在這個ap覆蓋范圍內(nèi)啟動時，它就能同時看到多個ssid。ssi

20、d的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。在一個語音ssid內(nèi)可把sip和h.323等無線語音數(shù)據(jù)以優(yōu)先級隊列處理。在一個視頻ssid內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。同時在一個預(yù)設(shè)定的視頻ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這ssid。在一個預(yù)設(shè)定語音ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語音傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這ssid?？稍诙鄐sid的情況下確保語音和視頻的qos支持。245故障自動恢復(fù)傳統(tǒng)的無線網(wǎng)在有ap損壞或失效時，這個ap的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現(xiàn)場失效的ap換掉。但由于大多數(shù)的ap都

21、是設(shè)置在外面(不是在機房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護人員即時做出更換(很多的ap都是安裝在天花板上)。aruba系統(tǒng)具有自動恢復(fù)的功能，實時偵測出網(wǎng)上ap是否有失效，當(dāng)發(fā)覺有ap出現(xiàn)故障時，aruba交換機能會自動調(diào)節(jié)鄰近的ap的功率（覆蓋范圍）來接替失效ap的工作。246網(wǎng)絡(luò)負載均衡aruba系統(tǒng)可在一個ap的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的ap上。在一個ap的覆蓋范圍內(nèi)，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須能限制一個ap上無線終端的數(shù)量或ap帶寬傳輸總和或和每個無線終端帶寬上限

22、。aruba無線系統(tǒng)可應(yīng)用層面通過47層交換模塊可以實現(xiàn)服務(wù)器的負載均衡，vpn設(shè)備，防火墻設(shè)備等等一系列基于tcp/ip協(xié)議設(shè)備的負載均衡來保證整體網(wǎng)絡(luò)的可靠性。在視頻應(yīng)用中，負載均衡功能可以有效的緩解單個ap的負擔(dān)，有效的利用臨近的ap做接入，從而確保視頻應(yīng)用的質(zhì)量得到保證。247 無線終端定位aruba 網(wǎng)管系統(tǒng)可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、pda和 wi-fi手機等。aruba采用的無線定位模式稱為三角定位，無線定位的準(zhǔn)確性可達到2.5米以內(nèi)，無線定位的條件是所尋找的無線終端附近須有最少三個aruba的ap 在范圍內(nèi)。這是傳統(tǒng)無線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是

23、采用了無線定位技術(shù)來取代傳呼機在醫(yī)院內(nèi)尋找醫(yī)生、病人等。大學(xué)對非法ap的定位，可以成為學(xué)校網(wǎng)絡(luò)中心的管理人員提供清楚非法ap有效手段，可以方便快捷的清除非法ap的網(wǎng)絡(luò)接入。可以保證園區(qū)網(wǎng)絡(luò)接入的安全可靠性。25 aruba無線局域網(wǎng)系統(tǒng)的安全管理251 集中的安全管理aruba無線系統(tǒng)的安全管理是將防火墻、vpn、安全認證、防病毒、無線入侵監(jiān)測以及rf 電磁波管理等多項安全功能匯聚到aruba無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（ap、ac）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。252多種用戶認證方式在aruba無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，會

24、拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過dhcp獲取ip地址、傳送dns協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網(wǎng)。aruba無線系統(tǒng)支持目前各種用戶認證的方式（802.1、web認證、mac、ssid、vpn等），園區(qū)網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。253 安全的ap技術(shù)aruba無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過ap，而是在aruba無線交換機上實現(xiàn)。由于aruba的ap是不儲存任何網(wǎng)絡(luò)配置（ip地址除外）和安全設(shè)置，因此aruba 管理的ap是不能單獨工作的，因此獲得和接入進aruba ap，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置

25、參數(shù)。254無線接入點安全偵測和保護采用aruba 無線系統(tǒng)的rf偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有ap接入情況,如相鄰房間的ap、設(shè)置錯誤的ap以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的ap。通過aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的ap接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法ap聯(lián)接到無線網(wǎng)中。三、 xxxxx無線覆蓋系統(tǒng)建議31無線覆蓋建議根據(jù)無線網(wǎng)絡(luò)需求及園區(qū)內(nèi)實地的了解，并結(jié)合以往的工程經(jīng)驗，對無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃：圖一 1樓圖二 2樓圖三 3樓圖四 4樓圖五 5樓圖六 6樓在規(guī)劃中，每一層需要7個ap才能實現(xiàn)全層的覆蓋，這

26、個是一個規(guī)劃值，由于無線信號的穿透受多種因素影響，如墻體的用料，厚度；木門還是鐵門；轉(zhuǎn)彎和拐角等，因此可能需要增加ap在一些無線信號穿透不到的位置，如樓梯，辦公樓的四個角位等。此外在辦公樓的一些重要位置安裝性能高的ap，如三樓的董事長室，副總經(jīng)理室等，可以確保貴公司領(lǐng)導(dǎo)在無線應(yīng)用的穩(wěn)定性。32天線安裝建議為了增強無線信號，降低投入成本，本設(shè)計擬采用加裝大功率的天線來實現(xiàn)，將ap的信號覆蓋范圍增大。具體天線安裝的位置要通過現(xiàn)場測試信號的范圍才能確定，預(yù)計安裝在走廊上，一些房間由于有實體墻和鐵門阻擋，信號難以覆蓋，則可以安裝在室內(nèi)。本方案將全部采用室內(nèi)天線，室內(nèi)天線分兩種，一種是可放置在桌面的全向

27、天線，一種則是吸頂定向天線，在這里建議使用吸頂天線，因為相比較而言，定向天線的信號比全向的要好。安裝上可將吸頂天線裝在走廊或室內(nèi)的天花上，這樣無線信號可以作一個比較大范圍的輻射，效果比桌面天線要好，而在吸頂天線不方便安裝區(qū)域則可以采用桌面天線。方案的安裝圖如下：圖七 天線安裝圖33無線組網(wǎng)實現(xiàn)aruba2400無線交換機可以最多可支持48個ap的接入和管理，完全滿足辦公區(qū)無線覆蓋的需求，并留有充足的擴展余量。aruba 2400交換機集中匯集ap的接入和控管。無線交換機和ap的連接可以穿透三層網(wǎng)絡(luò)設(shè)備，因此，無線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)，可以實現(xiàn)全網(wǎng)的無線漫游。 aruba公司的60/61/6

28、5/70系列 ap ，具有各種安全和管理功能，aruba交換機可以完全使用管理aruba ap的管理方式一樣來管理ap，實現(xiàn)所有aruba提供的安全和管理功能。無線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖如圖八所示：圖八 網(wǎng)絡(luò)拓撲圖移動交換機2400放置在機房與核心交換機相連，ap根據(jù)安裝位置和距離，部分ap可直接與2400相連，由2400直接通過poe供電，無需再使用外接電源，另外一部分ap可與樓層交換機相連，由外接電源供電。34用戶使用流程用戶可以在無線信號覆蓋的范圍內(nèi)使用pda的wifi功能接入到網(wǎng)絡(luò)，只需打開pda的wifi功能即可方便的接入，體驗移動辦公的方便與快捷。具體流程如圖九所示：圖九 用戶使用流

29、程圖35用戶接入控制351 ssid的加密和認證2400移動控制器支持多個ssid接入，可以按用戶需求劃分不同的ssid，比如專供領(lǐng)導(dǎo)使用的ssid，給員工使用的ssid以及供訪客使用的ssid，不同的ssid可以設(shè)置不同的認證和加密方式，需注意的是每個ssid僅支持一種認證和加密方式。對于外來的ap以及非用戶的ssid，可在移動控制器上將該ap設(shè)置成非法ap，這樣可以阻擋用戶去連接其ssid，達到用戶僅能連接本公司的無線網(wǎng)絡(luò)的目的。如圖十所示：圖十 rogue（非法）ap設(shè)定圖移動控制器2400目前可以支持以下認證方式：802.1x/wep，wpa，wpa-psk，wpa2，wpa2-psk

30、，xsec，此外支持多種高級認證：網(wǎng)頁注冊，網(wǎng)頁強制認證，vpn，mac。認證服務(wù)器可以支持多種方式，如：外部radius，ldap，內(nèi)部數(shù)據(jù)庫等。由于多普達p800w僅支持802.11b/g協(xié)議，因此需選用802.11b/g，為確保安全性，可選擇wep加密認證方式，在接入到無線網(wǎng)絡(luò)時需輸入認證密碼才能通過。352用戶接入時間控制當(dāng)采用內(nèi)部數(shù)據(jù)庫認證時，可以對接入用戶進行時間控制。界面圖十一所示圖十一 用戶接入時間控制在expiration（過期時限）里有三個選項，第一個是entry does not expire（接入永不過期），第二個是set expiry time（mins）（按分鐘來設(shè)

31、置過期的時間），第三個是set expiry data（mm/dd/yyyy）(過期的日期)，expiry time（hh:mm）（過期的時間），可根據(jù)需求選擇時間控制的方法。四、 產(chǎn)品介紹41 移動交換機2400產(chǎn)品介紹0aruba 2400 mobility controlleraruba 2400 移動控制器the aruba 2400 mobility controller is equipped with 24 10/100 mbps ethernet ports and 2 gibabit ethernet (gbic) uplinks.aruba 2400 移動控制器配有 24

32、個 10/100 mbps 以太網(wǎng)端口和 2 個千兆以太網(wǎng) (gbic) 級聯(lián)端口。the aruba 2400 supports up to 48 aps and up to 512 simultaneous users.aruba 2400 支持最多 48 個接入點 (ap) 和多達 512 個并發(fā)用戶。designed for regional headquarters or dense office deployments, the 2400 delivers up to 400 mbps of encrypted throughput via an integrated hardwa

33、reaccelerated encryption engine.2400 專為區(qū)域總部或密集辦事處部署而設(shè)計，通過集成的硬件加速加密引擎可傳輸高達 400 mbps 的加密吞吐量。performance & capacity性能和容量機架式1u配置固定10/100 端口24以太網(wǎng)供電是以太網(wǎng)串聯(lián)是gbic 級聯(lián)端口2有線 l2/l3 交換機操作是硬件加速加密是rs-232 串聯(lián)控制臺 (rj-45)是帶外以太網(wǎng)管理端口否每臺交換機最大用戶數(shù)目512每臺交換機最大接入點數(shù)目48加密流量 (3des) 吞吐量400 mbps交換機吞吐量2gbps0gbic uplink ports 20fault

34、 tolerance容錯性vrrp 用于交換機故障切換是自動接入點再導(dǎo)引是冗余電源否冗余風(fēng)扇否冗余監(jiān)控模塊否多個級聯(lián)端口以實現(xiàn)冗余是（可使用任一交換機端口）802.11 transport, authentication & encryption802.11 傳送、認證和加密802.11 通信標(biāo)準(zhǔn)a，b/g802.1x是加密類型wep、動態(tài) wep、tkip wpa、wpa-2, 802.11i, des, 3des,wpa-2、802.11i、des、3des、aes-ccmp, aes-cbc, eap, peap, tls,aes-ccmp、aes-cbc、eap、peap、tls、tt

35、ls, leap, eap-fast, xsec-l2 aesttls、leap、eap-fast、xsec-l2 aesmac 地址認證是可升級到新的加密機制是wi-fi certified 標(biāo)志是802.11 communications standards a, b/g0rf management and controlrf 管理和控制適合無線電資源管理 (arm)是語音察覺掃描是，多 essidper ap up to 48最多 48 個接入點3 維 rf 站點視圖是自動接入點校準(zhǔn)分布式和集中式0在失敗的接入點旁進行自恢復(fù)是負載平衡 用戶數(shù)目是負載平衡 基于利用情況是覆蓋盲區(qū)和干擾檢測

36、是無線 rmon/分組捕捉是第三方分析工具插件ethereal，airopeek基于定時器的接入點接入控制是mobility移動性快速漫游23 米秒（交換機間）1015 msec inter-switch1015 米秒（交換機內(nèi)）內(nèi)部子網(wǎng)漫游是移動 ip 支持是代理移動 ip是代理 dhcp是vpn & firewallvpn 和防火墻并發(fā) ipsec 通道512狀態(tài)防火墻策略（每用戶和每端口）64,000vpn 終端ipsec、pptp、xauth、xsec(client-server and（客戶端服務(wù)器和point-to-point)點到點）vpn 撥號器是定制強制網(wǎng)絡(luò)門戶是外部強制網(wǎng)絡(luò)

37、門戶是網(wǎng)絡(luò)地址轉(zhuǎn)換是acls標(biāo)準(zhǔn)和擴展user management用戶管理每個用戶或每個角色分配防火墻策略、bandwidth contracts,帶寬合同、session prioritization,會話優(yōu)先級、vlan assignmentvlan 分配角色來源根據(jù)認證、essid, encryption, ouiessid、加密、oui基于位置的接入控制是0quality of service服務(wù)質(zhì)量帶寬合同是每個用戶和每個角色應(yīng)用識別流量分類0and prioritization和優(yōu)先級是802.1p支持 是diffserv 控制協(xié)議支持（dscp 標(biāo)記）是0voip suppor

38、tvoip 支持語音察覺 rf 監(jiān)控/掃描是基于會話狀態(tài)語音會話優(yōu)先級scp、sip、skinny、voceravoice-aware rf monitoring/scanning yessession-based 0authentication services認證服務(wù)本地 radius是第三方 aaa 服務(wù)器互用性microsoft active directory、microsoft ias radius server,microsoft ias radius server、cisco acs radius server,cisco acs radius server、funk stee

39、l beltedfunk steel beltedradius server, rsa aceserver,radius server、rsa aceserver、infoblox, interlink radius serverinfoblox、interlink radius serverldap/ssl 安全 ldap是local radius yes wireless lan intrusion無線 lan 入侵語音察覺掃描是多頻段掃描（單模，整個頻段）是與第三方 wlan 協(xié)同工作是檢測并消除未經(jīng)授權(quán)的接入點是拒絕服務(wù)攻擊檢測和防護認證和deauthentication floods

40、,解除認證洪泛 (deauthentication flood)、probe request flood,探測器請求洪泛 (probe request flood)、fake ap flood偽接入點洪泛 (fake ap flood)人為攻擊序列號、檢測和防護eap 速率、station disconnect analysis工作站斷開分析工作站和接入點分類是工作站黑名單手動、認證failure, man-in-the-middle attack失敗、人為攻擊基于 mac 地址的用戶數(shù)據(jù)庫對未經(jīng)授權(quán)或無效接入點分類是ms-sql 或 mysql接入點錯誤配置保護是假冒工作站和接入點是不正確/

41、效率低的 wep keys 和初始化矢量是自組網(wǎng)檢測和防止是未授權(quán)的 nic 類型 (oui)是特征符分析是可升級至識別新的特征符和攻擊是多租戶策略是無線網(wǎng)橋檢測是0network & system management網(wǎng)絡(luò)和系統(tǒng)管理網(wǎng)站用戶界面是命令行控制臺、telnet、ssh系統(tǒng)日志 (syslog)是snmp v2c是aruba 私有 mib是mib-ii是本地 wi-fi 多路復(fù)用器的集中配置12本地 wi-fi 交換機的集中配置48wi-fi 交換機和所有接入點的集中圖像更新c是third-party security services integration第三方安全服務(wù)集成防病

42、毒服務(wù)集成和0user quarantine用戶隔離是fortinet修復(fù)集成和0user quarantine用戶隔離是sygate服務(wù)器負載平衡用于外部服務(wù)器/0server groups服務(wù)器組是standards supported標(biāo)準(zhǔn)支持0ieee 802.1xieee 802.1xieee 802.3 10base-tieee 802.3 10base-tieee 802.3u 100base-tieee 802.3u 100base-tieee 802.1qieee 802.1qieee 802.3afieee 802.3afieee 802.11a/b/gieee 802.11

43、a/b/gieee 802.11dieee 802.11dieee 802.11i (draft version)ieee 802.11i（草案）the aruba ap 65aruba ap 65the aruba 65 is arubas smallest, dual-radio thin architecture access point that provides concurrent operation of 802.11a and 802.11b/g services.aruba 65 是 aruba 公司體積最小的雙射頻瘦體系結(jié)構(gòu)接入點，可提供 802.11a 和 802.11b

44、/g 服務(wù)的并發(fā)操作。designed for use exclusively with aruba mobility controllers, with its rear mounted ethernet interface and integrated ceiling tile rail mounting point, the aruba 65s self contained, low-profile design is ideally suited for discrete deployment applications.aruba 65 的設(shè)計只能與 aruba 移動控制器配套使用，背面嵌有以太網(wǎng)接口和集成的天花板瓷磚軌道安裝點，aruba 65 獨立的低成本設(shè)計非常適合分散的部署應(yīng)用。the aruba 65 is a multi-purpose device that functions both as an access point and as an rf monitor either independently or concurrentlyacross the 2.4 ghz and 5 ghz spectrums.aruba 65 是一臺多用途設(shè)備，可用作接入點和